國慶假期來臨、重要會議舉辦……今年的金秋十月格外歡騰。在舉國歡慶之際,網(wǎng)絡(luò)不法分子也開啟了“狂歡”。
由于社會影響、監(jiān)管要求等因素,組織單位對重要時期安全事件的容忍度更低,借機牟利的網(wǎng)絡(luò)攻擊者往往會利用智能化自動攻擊工具發(fā)起更加瘋狂的不間歇攻擊。
對于組織單位來說,安全部門的“007”值守已經(jīng)成為了重保標(biāo)配。盡管如此,網(wǎng)絡(luò)安全攻擊引起的事故仍然頻頻發(fā)生。究其原因,組織單位在風(fēng)險管控的流程、能力上仍存在差距:
值守人員有限,安全告警數(shù)量過多,無法及時分析出有效攻擊。
面對突然披露的0Day漏洞,不知道該如何快速排查、遏制影響面。
攻擊一旦突破邊界,不能立即實行有效措施阻止內(nèi)網(wǎng)橫向擴散。
………
如今,僅僅依靠組織單位自身的“007”值守已經(jīng)不足以應(yīng)對新型攻擊。深信服云地協(xié)同的重要時期網(wǎng)絡(luò)安全保障方案采用“技防+人防”實行線上、線下協(xié)同合作的風(fēng)險全流程管控,讓您不必“007”,也能7*24H安全無憂!
備戰(zhàn)重保:查漏補缺工作必不可少!
近兩年受新冠肺炎疫情的影響,政府、教育、醫(yī)療等與民生密切相關(guān)的行業(yè)不斷加速數(shù)字化進程,在“業(yè)務(wù)先行”的模式下,信息資產(chǎn)頻繁變動、安全管理缺失、系統(tǒng)漏洞多、安全策略無暇更新……攻擊暴露面不斷增大。
然而,網(wǎng)絡(luò)攻擊者的首要動作就是收集組織單位的安全暴露面,如資產(chǎn)信息、開放端口、被泄露的敏感信息等,再以此突破邊界,攻入內(nèi)網(wǎng)。因此, 重保前的深度查漏補缺,是組織單位必不可少的準(zhǔn)備工作。
脫韁資產(chǎn)管理
通過安全感知管理平臺SIP和下一代防火墻AF的ACL策略,實時檢測資產(chǎn)動態(tài),分析資產(chǎn)離線、高危端口開放、無流量訪問端口、無流量訪問源等異常狀態(tài)。
云端安全專家將會針對無防護、無流量、未知、離線、加密流量等脫韁資產(chǎn)與組織單位逐個確認,提前協(xié)助組織單位解決脫韁問題,將暫時無法處置的資產(chǎn)納入全天候監(jiān)測范圍,防止遺漏資產(chǎn)在重要保障期間被攻擊者利用。
脆弱性排查加固
基于多年的實戰(zhàn)攻防與運營積累,深信服以暴露面、漏洞、弱口令為維度,創(chuàng)新研發(fā)了資產(chǎn)風(fēng)險預(yù)防庫和70+類安全策略。
在重保開始前,云端安全專家將會調(diào)用風(fēng)險預(yù)防庫對組織系統(tǒng)進行脆弱性排查,并針對性地進行重保時期的安全策略檢查和加固。在確保策略準(zhǔn)確性基礎(chǔ)上,對策略應(yīng)用范圍、版本支持情況、交叉配置信息等內(nèi)容進行檢查,確保所有的安全策略“應(yīng)用即有效”。
深度威脅狩獵
除了對內(nèi)部脆弱性進行安全加固外,威脅也是網(wǎng)絡(luò)安全中難以被發(fā)現(xiàn)的風(fēng)險之一。基于組織單位的業(yè)務(wù)視角,深信服云端專家結(jié)合XDR平臺開展深度威脅狩獵,以“人+AI+機器學(xué)習(xí)”多維檢測形成合力,深度挖掘、處置潛伏的未知威脅攻擊。
決戰(zhàn)重保:不必“007”,也能7*24H安全無憂!
在查漏補缺后,真正的攻防戰(zhàn)場也隨之拉開序幕。
在重保期間,深夜、凌晨等值守困倦期也是網(wǎng)絡(luò)攻擊者頻繁發(fā)起多輪攻擊的時機。組織單位不僅僅要做到全天候高集中的安全值守,還要對突發(fā)安全事件進行高質(zhì)量的應(yīng)急處置,以最快速度遏制擴散風(fēng)險、降低損失。
問題1:怎么做到全天水平一致的實時對抗值守?
從往年的重保經(jīng)驗來看,如果組織單位僅僅依靠本地駐場人員值守,受限于人員精力和能力,難免會有疏漏和困倦之時。而引入云端的安全托管服務(wù)MSS,以云地協(xié)同的機制可以幫助組織單位很好地彌補純本地值守的不足。
MSS采用“人機共智”的創(chuàng)新模式,綜合運用資深攻防專家經(jīng)驗和豐富的威脅情報庫,驅(qū)動運營平臺對安全日志、流量進行自動化關(guān)聯(lián)分析,并由200+持續(xù)在線的云端安全專家實時進行更精細的人工分析、研判、定位,通過微信群、電話等方式及時同步精確的分析結(jié)果,協(xié)同線下人員共同開展閉環(huán)處置工作。
考慮到重保“要求高、任務(wù)重”,云端專家還會在不間斷值守的基礎(chǔ)上每兩小時進行一次全網(wǎng)日志的深度分析和通報。同時,云端專家每日會匯總整理當(dāng)日內(nèi)外部威脅、攻擊及響應(yīng)處置情況,真正幫助組織單位擺脫“007”的內(nèi)耗,省心高效地做好重保期間的網(wǎng)絡(luò)安全保障工作。
問題2:面對突發(fā)安全事件,怎么快速遏制、處置?
在重保場景下,大部分用戶缺乏規(guī)范的應(yīng)急機制和相應(yīng)流程,憑借自身的安全能力往往難以有效應(yīng)對快速發(fā)生、擴散的攻擊事件。據(jù)統(tǒng)計,平均響應(yīng)時間超過48小時。
總結(jié)多次重保和大型攻防演練的防守經(jīng)驗,深信服基于云地協(xié)同的7*24小時監(jiān)測,針對重保時期打造一套可落地、可閉環(huán)、可量化的響應(yīng)處置流程:
實時風(fēng)險研判+情報收集,準(zhǔn)確率99%
通過每年萬億級日志分析,深信服沉淀下了2000+安全用例(Usecase),自動化實現(xiàn)96%設(shè)備無效告警過濾,還支持個性化定制開發(fā),幫助用戶基于業(yè)務(wù)視角實現(xiàn)更精準(zhǔn)的檢測。云端安全專家聯(lián)動安全設(shè)備(如下一代防火墻AF、終端安全管理平臺EDR等)進一步核實,確保上報告警準(zhǔn)確率高達99%。
不僅如此,基于覆蓋國內(nèi)外的安全設(shè)備和安全云腦大數(shù)據(jù)分析平臺,深信服構(gòu)建了完整的內(nèi)外部威脅情報一體化生產(chǎn)、應(yīng)用和監(jiān)控運營系統(tǒng),不僅能快速收集重要保障期間爆發(fā)、新出現(xiàn)的流行安全威脅,還能分析溯源威脅攻擊鏈,以覆蓋“事前、事中、事后”的一體化威脅情報先一步預(yù)警組織單位。
15分鐘內(nèi)快速響應(yīng)
在發(fā)生安全漏洞/威脅/事件后,云端專家將會通過微信、短信、郵件、電話等多種途徑通知用戶,并針對初步判斷和下一步建議進行說明。
針對“簡單風(fēng)險”和“一般風(fēng)險”,運營中心積累的大型事件調(diào)查和處置庫可根據(jù)風(fēng)險信息傳遞指令,自動化/半自動化響應(yīng)處置,快速遏制安全風(fēng)險;針對“重大風(fēng)險”,云端專家會先進行惡意流量和外聯(lián)行為阻斷,控制影響面并向用戶匯報風(fēng)險信息和遏制方案,在授權(quán)下通過安全設(shè)備進行響應(yīng)遏制操作以及下一步深度溯源分析。
1小時遏制
在快速響應(yīng)后,云端專家、本地值守人員將會協(xié)同開展深度溯源和風(fēng)險清除工作。通過歷史攻擊回溯和攻擊面分析、關(guān)聯(lián)相關(guān)攻擊告警和行為,從攻擊者視角審視業(yè)務(wù)資產(chǎn)的攻擊面,精準(zhǔn)定位到此次事件的根因入口,協(xié)助用戶進行攻擊暴露面管理。
同時,云端專家、本地值守人員也會對此次攻擊進行可視化的過程還原,捕獲每個攻擊軌跡,對涉及的設(shè)備及時做好處置與防范管理。
100%跟蹤閉環(huán)
云端專家每日跟進、協(xié)助用戶完成所有遺留安全風(fēng)險的修復(fù)加固。
憑借著多年來在國家級、省級攻防演練中沉淀下來的實戰(zhàn)經(jīng)驗,及針對攻防對抗技術(shù)的深入研究,深信服已經(jīng)具備了強大的攻防實戰(zhàn)能力和豐富的重大活動網(wǎng)絡(luò)安全保障經(jīng)驗,先后完成了建黨100周年慶典活動、第十四屆全運會、新中國成立七十周年慶典、多屆全國兩會、杭州G20峰會、廈門金磚會晤等多個國家級網(wǎng)絡(luò)安全保障任務(wù)。
未來,深信服也將不忘初心,牢記使命,繼續(xù)為維護網(wǎng)絡(luò)環(huán)境、守衛(wèi)國家安全持續(xù)奉獻智慧與力量!
